Pendant un certain temps, Emotet a été considéré comme le logiciel malveillant le plus dangereux. Avec son hameçonnage sournois à la dynamite, il a également pénétré dans des réseaux bien sécurisés. Mais au début de l’année, plusieurs autorités ont réussi à porter un coup au réseau Emotet : elles ont saisi les serveurs et n’ont livré que des mises à jour inoffensives. En avril de cette année, ils ont finalement supprimé le logiciel malveillant Emotet des systèmes infectés. Mais maintenant, les machines infectées par le malware Trickbot ont commencé à installer de nouvelles variantes d’Emotet.
Sommaire
Logique du canard
Comme le rapporte GData, dimanche, les drones trickbot ont commencé à télécharger de nouvelles DLL que les systèmes d’analyse automatique ont classées comme Emotet. Afin de clarifier ce qui se passait, le laboratoire de virus a effectué des analyses manuelles et est arrivé à la conclusion suivante : ressemble à Emotet, sent comme Emotet et se comporte comme Emotet – est probablement Emotet.
Le code et le fonctionnement de la nouvelle version sont similaires aux échantillons connus d’Emotet, mais les programmeurs du robot ont apporté quelques modifications. Par exemple, selon GData, les serveurs utilisent désormais https avec des certificats auto-signés pour sécuriser la communication, contrairement aux dernières versions du malware de l’année dernière, et le cryptage pour cacher les données a été légèrement modifié.
Porte-étriers Trickbot
Dans le passé, la bande derrière Emotet a déjà travaillé avec les tireurs de fils Trickbot. Par le passé, les commanditaires d’Emotet vendaient l’accès aux réseaux d’entreprise, de sorte qu’après l’infection initiale par Emotet, Trickbot se retrouvait souvent sur les machines compromises. Ils ont ensuite crypté les systèmes des victimes avec le ransomware Ryuk et exigé de fortes rançons (la procédure exacte explique Emotet, Trickbot, Ryuk – un cocktail explosif de malwares).
Le gang Trickbot est resté actif même après la grève contre Emotet. En quelques jours, ils ont cherché d’autres fournisseurs pour accéder aux réseaux de l’entreprise et ont mis en place un commerce florissant de « Ransomware as a Service » basé sur le logiciel d’extorsion Conti. Ce faisant, ils louent leurs logiciels malveillants et leur infrastructure à des bandes de cybercriminels en herbe. Et maintenant, ils aident apparemment les copains de l’ancien temps à se remettre en selle.
Dynamite phishing
La spécialité d’Emotet était les courriels de hameçonnage particulièrement bien conçus, appelés hameçonnage à la dynamite. Dans ce cas, les cibles sélectionnées reçoivent des courriels personnalisés qui semblent provenir de collègues ou de partenaires commerciaux et qui citent même des courriels antérieurs du destinataire. L’objectif est de tromper le(s) destinataire(s) :in pour qu’il(s) ouvre(nt) le fichier Office joint.
Entre-temps, les nouveaux drones Emotet envoient déjà à nouveau des spams malveillants par courrier électronique, comme l’ont constaté les chercheurs du groupe Cryptolaemus. tweet. Selon ces informations, les robots envoient aux victimes potentielles des documents spécialement préparés sous forme de fichiers .docm, xlsm ou ZIP protégés par un mot de passe. Les experts en botnet de abuse.ch recommander Nous recommandons donc à tous les administrateurs de prendre la précaution de bloquer les serveurs de commande et de contrôle sur les pare-feu du périmètre de l’entreprise. Ils maintiennent à cette fin une liste d’adresses IP de serveurs Emotet connus.